iOS-Schlüsselbund von gesperrten und deaktivierten iPhones extrahieren
8. Januar 2020
Elcomsoft hat ein Update für das iOS Forensic Toolkit (EIFT) veröffentlicht. Mit der Version 5.21 kann nun der iOS-Schlüsselbund teilweise von ausgewählten Apple-Geräten, auf denen die Versionen iOS 12 bis iOS 12.3 laufen, extrahiert werden. Dies ist auch auf deaktivierten und gesperrten iPhones möglich, die sich im BFU (Before First Unlock)-Zustand befinden, selbst wenn das Passwort für die Bildschirmsperre nicht vorliegt.
Die BFU-Schlüsselbund-Extraktion ist auf ausgewählten Apple-Geräten verfügbar und erfordert die Installation des Anfang Dezember 2019 veröffentlichten ‚checkra1n‘-Jailbreak. Die unterstützten Geräte reichen vom iPhone 5s und iPhone X über die iPad-Modelle iPad mini 2 und iPad Pro 10.5 bis hin zum neuesten iPad (2018). Zum ersten Mal ermöglicht das Elcomsoft iOS Forensic Toolkit (EIFT) Forensikern und Ermittlern, den iOS-Schlüsselbund von BFU-Geräten auszulesen. Dies gilt sowohl für deaktivierte als auch für gesperrte Geräte mit unbekanntem Passwort zur Bildschirmsperre (‚Screen Lock-Passcode‘).
Im Vergleich zur Daten-Extraktion auf nicht gesperrten Apple-Geräten, ist der neue BFU-Extraktions-Modus nur in der Lage, eine begrenzte Anzahl von iOS-Schlüsselbund-Elementen auszulesen. Insbesondere können damit Datensätze extrahiert werden, in denen sich Authentifizierungs-Informationen für einige E-Mail-Konten sowie weitere Authentifizierungs-Token befinden.
Für den Zugriff auf den iOS-Schlüsselbund im BFU-Modus ist die Installation des ‚checkr1n‘-Jailbreak erforderlich. Der im Jailbreak enthaltene Exploit nutzt eine Sicherheitslücke im Apple-Bootrom aus, und ist daher hardwareunabhängig auf allen kompatiblen Geräten verfügbar. Der Jailbreak wird über den DFU (Device Firmware Update)-Modus installiert und steht unabhängig vom Sperrstatus (BFU/AFU-Status) zur Verfügung.
Die Liste der unterstützten Geräte umfasst Modelle, die auf Apples A7 bis A11 System-on-a-Chip (Soc) basieren. Dazu gehören das iPhone 5s, 6, 6s, SE, 7 und 8 sowie die Plus-Versionen und das iPhone X. Unterstützt werden ebenfalls Apple iPad-Geräte, die auf den entsprechenden CPUs laufen, darunter Modelle vom iPad mini 2 bis zum iPad 2018, iPad 10.2, iPad Pro 12.9 (erste Generation) und iPad Pro 10.5. Elcomsoft iOS Forensic Toolkit 5.21 ist ab sofort für Windows und Mac OS X verfügbar. (rhh)
